🏥 病院サイバーインシデントDB

← 一覧へ戻る

アイルランド保健サービス(HSE)、Conti ランサムウェアで全国の医療ITが停止

発生日2021-05-14
国・地域IE アイルランド
医療機関アイルランド保健サービス(HSE:国営医療機関全体)(公立)
原因ランサムウェア / フィッシング
アクターその他サイバー犯罪者
深刻度重大
信頼度確認済み
被害 診療の停止・縮小システム停止情報漏えい
被害メモ診療への影響、システム障害、情報漏えい
被害額約1億ユーロ(約140億円) /復旧費用の推計(2022年末で約8,000万ユーロ、最終的に約1億ユーロ規模)。Conti は2,000万ドルの身代金を要求したが不払い。円換算は1ユーロ≈140円(2022年)で約140億円。

タイムライン(経緯)

公表・確認済みの日付のみ。未公表の経緯は省略している。

  1. 発生
    フィッシングメールにより端末が侵害される(初期侵入)
  2. 発生
    Conti ランサムウェアが実行され全国の医療ITが停止
  3. 調査・報告
    PwC による独立調査報告書(157ページ)を公表

攻撃の流れ(MITRE ATT&CK 戦術)

公表・確認済みの情報に基づく。未公表の段階は省略している。戦術名をクリックすると同じ戦術の事例を一覧で見られる。ATT&CKとは?

  1. 初期アクセス TA0001 フィッシングメールの悪性Excelファイルを開封し端末が侵害される(3月中旬)
  2. 横展開 TA0008 約8週間かけて内部ネットワークを横展開
  3. 持ち出し(情報窃取) TA0010 患者データなどを窃取
  4. 影響(暗号化・破壊) TA0040 Conti ランサムウェアを実行し全国の医療ITシステムが停止(5月14日)

実施した再発防止策

公表・確認済みの対策のみ。未公表の対策は省略している。

アイルランドの国営医療機関である保健サービス(Health Service Executive:HSE)は2021年5月14日、Conti ランサムウェアの実行により全国規模で医療ITシステムが停止した。診断・検査・予約などが広範囲に麻痺し、多くの病院が手作業での運用や診療の延期を強いられた。

PwC による独立調査報告書(2021年12月公表、157ページ)によれば、起点は2021年3月中旬に職員へ送られたフィッシングメールで、添付された悪性のExcelファイルを開いたことで端末が侵害された。攻撃者はその後約8週間かけて内部を横展開し、患者データなどを窃取したうえでランサムウェアを実行した。5月14日以前にも攻撃者の活動が複数回検知されていたが、インシデントとして調査されず、ランサムウェア実行を防ぐ機会が失われたと報告書は指摘している。国家レベルの医療システムが標的となった、世界的に著名な被害事例。

出典